Es evidente que los ataques cibernéticos de China afectan a las empresas que operan en el país o que mantienen relaciones comerciales con él, pero cada vez es más evidente que también afectan a empresas que no tienen vínculos comerciales directos con China. En este artículo se explican los objetivos de los ataques cibernéticos del Gobierno chino, cómo los lleva a cabo y por qué es prácticamente imposible para las empresas extranjeras evitar ser víctimas de estos ataques o defenderse de ellos.
Enel artículo «El Gobierno chino está accediendo a TU red por la puerta trasera y sigue sin haber ningún lugar donde esconderse», explicamos cómo los bancos chinos exigen a los titulares de sus cuentas —incluidas todas las empresas extranjeras en China— que instalen malware que permite al Gobierno chino ver todos los datos de los titulares de las cuentas. En «Malware en China: lo sentimos, frikis tecnológicos, sigue sin haber ningún lugar donde esconderse», explicamos cómo «el propio Gobierno chino es el hacker y no permitirá que ningún técnico, ya sea extranjero o nacional, preste servicios que frustren los objetivos finales del hacker».
A. El Gobierno chino es el responsable del ataque informático
El objetivo fundamental del concepto de «Seguridad Nacional Integral» (总体国家安全) de la República Popular China en el ámbito de las redes es que todas las comunicaciones e informaciones en red estén abiertas y a disposición del Gobierno chino, al tiempo que se bloquea el acceso a terceros ajenos al Estado. En consonancia con este concepto, el gobierno pretende garantizar que toda la actividad en red que se lleve a cabo dentro de China sea transparente para el Estado. Este programa se aplica a todas las personas (físicas o jurídicas) que operan dentro de las fronteras de la República Popular China (y ahora también en Hong Kong y Macao). Si opera en China, debe asumir que todos sus datos y comunicaciones en red están sujetos a ser capturados por el Gobierno chino. Ya no se concede ningún estatus privilegiado a las empresas con inversión extranjera ni a los ciudadanos extranjeros; una vez dentro de las fronteras de la República Popular China, su trato es el mismo que el de las empresas nacionales y los ciudadanos chinos. Al igual que ocurre con cualquier ciudadano de la República Popular China, no hay lugar donde esconderse.
Entonces, ¿cómo lleva a cabo el Gobierno de la República Popular China este programa? La clave está en que el propio Gobierno chino es el hacker. Cuando el hacker participa directamente en la creación y la regulación de Internet y es el principal responsable de la aplicación de la ciberseguridad, es evidente que no habrá protección alguna frente a las actividades de intrusión en la red y recopilación de datos de ese mismo hacker. El hacker dicta cómo funcionará el sistema y, por supuesto, este no ofrece protección alguna contra sus propias actividades.
B. Aisino Corporation
Este hecho básico queda ilustrado por el programa malicioso Golden Spy/Golden Helper que se analiza a continuación. Trustwave informa de que la aplicación Golden Spy fue desarrollada por Aisino Corporation: (Aerospace Information Joint Stock LLC. – 航天信息股份有限公司), una empresa de tecnologías de la información que cotiza en bolsa y está especializada en seguridad de la información. En la página web de Aisino se indica que es propiedad de la empresa estatal CASIC (China Aerospace Science & Industry Corporation Limited – 中国航天科工集团公司). Véase GoldenSpy, capítulo 4: Malware GoldenHelper integrado en el software oficial Golden Tax.
CASIC es el principal fabricante de misiles y dispositivos aeroespaciales relacionados de la República Popular China. Vende sistemas de misiles a Corea del Norte y colabora estrechamente con el ejército ruso. Como proveedor de armamento, es una empresa estatal que se encuentra bajo el control directo del Gobierno de la República Popular China y del Partido Comunista Chino (PCCh). Es decir, es el Gobierno. Recientemente, como parte del plan de la República Popular China para promover el desarrollo autóctono de las operaciones en red y la computación en la nube, CASIC se introdujo en el negocio de las redes comerciales a través de Aisino, su filial que había estado activa en el procesamiento de pagos y otros sistemas contables. La elaboración por parte de Aisino del software fiscal Golden Shield y la implementación del sistema relacionado forman parte de ese proceso.
C. El malware Golden Spy/Golden Helper
El hecho de que Aisino haya creado el malware «Golden Spy» significa que fue el Gobierno de la República Popular China quien lo diseñó. En pocas palabras, el Gobierno de la República Popular China es el responsable de los ataques informáticos y goza de inmunidad frente a cualquier responsabilidad derivada de sus actividades de piratería cibernética. Por eso Aisino utilizó un sistema de troyano rudimentario y fácil de identificar para este malware. No corre ningún riesgo de ser descubierto, sancionado o desmantelado.
Algunos nos han comentado a nosotros y a los profesionales de la seguridad que una intrusión tan evidente demuestra, de alguna manera, que el Gobierno de la República Popular China no puede estar detrás del programa malicioso. ArsTechnica respondió a este tipo de comentarios en términos muy claros:
Comentario de un lector: «El uso de un troyano de descarga no pasa desapercibido».
Respuesta de ArsTechnica: En cuanto a que sea menos sutil… un malware como este no es sutil en absoluto según los criterios que estás aplicando aquí, así que ese es un argumento extraño. También resulta un poco raro que pienses que al Gobierno chino le importe la sutileza cuando estamos hablando de un software que se distribuye por orden gubernamental dentro de su país. Es decir… ¿qué, acaso las autoridades chinas van a tomar medidas drásticas contra ellos?
Así es la situación en la República Popular China. Como deja claro Arstechnica, cuando el propio Gobierno es el responsable del malware o de la recopilación ilícita de datos, no hay remedio ni escapatoria. El Gobierno chino y el grupo de hackers vinculado a él no necesitan actuar con sutileza ni borrar sus huellas cuando operan dentro de las fronteras de la República Popular China.
D. Uso obligatorio de software gubernamental que contiene malware
El malware Golden Spy/Golden Helper incluido en el software de pago de impuestos exigido por el Gobierno de la República Popular China es un ejemplo de este método. Tras su informe inicial sobre este asunto, Trustwave ha publicado una serie de informes sobre este malware y sobre la respuesta de Aisino ante las revelaciones públicas relativas a este software. Véase GoldenSpy: Capítulo dos – El desinstalador, GoldenSpy Capítulo 3: Desinstalador nuevo y mejorado, y GoldenSpy Capítulo 4: Malware GoldenHelper integrado en el software oficial Golden Tax. Estos informes de Trustwave deberían ser de lectura obligatoria para cualquier empresa extranjera que tenga previsto operar en China.
Los informes de seguimiento de Trustwave revelan los tres aspectos clave siguientes:
En primer lugar, Aisino utilizó el sistema de actualización automática del software Golden Spy para distribuir un desinstalador que eliminaba el malware y cualquier archivo u otro rastro de su existencia. Sin embargo, su software de desinstalación sigue proporcionando un punto de acceso a los sistemas de los usuarios que puede utilizarse para descargar malware u otro software no autorizado en cualquier momento. Un sistema limpio hoy puede infectarse mañana. Esto significa que este softwarees una fuente constante de riesgo.
En segundo lugar, Trustwave descubrió un programa malicioso relacionado, pero independiente, oculto en el software Golden Tax. Este malware, denominado Golden Helper, estuvo activo en 2018 y 2019. A partir de ello, Trustwave llega a la conclusión razonable de que el programa malicioso del software fiscal no es una novedad reciente, sino que lleva en funcionamiento al menos varios años.
En tercer lugar, Trustwave confirmó nuestra descripción anterior de la técnica utilizada por los bancos chinos para distribuir el software Golden Tax y su carga maliciosa:
Durante nuestra investigación, se nos ha informado de que el software Golden Tax podría estar implantado en su entorno como un sistema autónomo proporcionado por el banco. Varias personas han informado de que han recibido un ordenador con Windows 7 (edición Home) con este software Golden Tax (y GoldenHelper) preinstalado y listo para usar. Este mecanismo de implantación es una interesante manifestación física de un troyano.
Véase el capítulo 4 de GoldenSpy: el malware GoldenHelper integrado en el software fiscal oficial Golden.
La descripción de Trustwave es básicamente la misma que la que publicamos anteriormente aquí en nuestro blog, incluso en lo que respecta al uso del sistema operativo Windows 7. Véanse los artículos «El Gobierno chino está accediendo a TU red por la puerta trasera y sigue sin haber ningún lugar donde esconderse» y «Malware chino: lo sentimos, frikis tecnológicos, sigue sin haber ningún lugar donde esconderse».
Cuando escribimos anteriormente sobre estos ciberataques chinos, tan extendidos e imparables, recibimos comentarios en los que se afirmaba que nada de esto podía ser cierto, ya que implicaría la proliferación de sistemas informáticos comprometidos. A quienes no trabajan en la República Popular China les resulta extraño que el Gobierno de este país exija a las empresas el uso de un sistema informático inseguro. Pero esto no resulta extraño si se tienen en cuenta los objetivos del Gobierno. Un sistema comprometido es fácil de piratear. El gobierno es el pirata informático, así que se lo pone fácil a sí mismo. Es posible que los bancos no conozcan los detalles del malware ni del sistema comprometido; el personal bancario solo sigue órdenes.
E. Uso de equipos de red con puertas traseras instaladas
Desde hace tiempo se da por hecho que el hardware de red fabricado en la República Popular China está plagado de puertas traseras que permiten la intrusión no autorizada del Gobierno chino, y un informe reciente confirma esta hipótesis. Según informa ZDNet, un grupo de investigación ha detectado siete casos distintos de malware o puertas traseras en dispositivos críticos de conexión de cables de fibra óptica de red. Véase «Descubiertas cuentas con puertas traseras en 29 dispositivos FTTH del proveedor chino C-Data». ZDNet describe estas puertas traseras intencionadas de la siguiente manera:
Dos investigadores de seguridad han afirmado esta semana que han detectado graves vulnerabilidades y lo que parecen ser puertas traseras intencionadas en el firmware de 29 dispositivos OLT FTTH del conocido fabricante C-Data. FTTH son las siglas de «Fiber-To-The-Home» (fibra hasta el hogar), mientras que OLT significa «Optical Line Termination» (terminación de línea óptica). El término «OLT FTTH» hace referencia a los equipos de red que permiten a los proveedores de servicios de Internet llevar los cables de fibra óptica lo más cerca posible de los usuarios finales.
Como su nombre indica, estos dispositivos constituyen el punto de terminación de una red de fibra óptica, ya que convierten los datos de una línea óptica en una conexión clásica por cable Ethernet que, a continuación, se conecta en los hogares de los usuarios, en centros de datos o en centros de negocios. Estos dispositivos se encuentran repartidos por toda la red de un proveedor de servicios de Internet y, debido a su papel fundamental, son también uno de los tipos de dispositivos de red más extendidos en la actualidad, ya que deben instalarse en millones de puntos de terminación de red en todo el mundo.
En pocas palabras, este malware es de lo peor que hay.
C-Data, el proveedor mencionado aquí, es uno de los principales proveedores de este tipo de hardware en la República Popular China. La conclusión que hay que sacar de todo esto es que, si esta empresa se siente libre de incluir este sistema de puerta trasera en los productos que vende fuera de la República Popular China, sin duda tampoco tiene ningún impedimento para hacer lo mismo dentro de China. Esto significa, por tanto, que cualquier empresa extranjera que opere en China debe asumir que su conexión a Internet está completamente comprometida por este tipo de malware o puerta trasera en todo su sistema de red. Si no está incluido en su sistema de oficina, es casi seguro que lo esté a nivel del proveedor de servicios de Internet o del proveedor de servicios en la nube.
Este sistema lo instalan los proveedores de telecomunicaciones que son propiedad del Gobierno de la República Popular China o están bajo su control. Una vez más, es el pirata informático —el Gobierno chino— quien configura el sistema, y es el pirata informático quien accede a las redes de las empresas a través de estas puertas traseras.
F. Uso del software antivirus exigido por la República Popular China
Una de las disposiciones fundamentales del nuevo régimen de la Ley de Ciberseguridad de la República Popular China es la obligación de que los usuarios conectados a la red utilicen el software antivirus proporcionado por el Gobierno chino. Piénsalo un momento: el Gobierno chino exige a las empresas que utilicen únicamente el software «antivirus» que él mismo proporciona. Este software antivirus no solo ofrece una plataforma ideal para que los hackers del Gobierno chino accedan a la red informática del usuario, sino que, sin duda, también está programado para no detectar el malware del Gobierno chino.
Los riesgos que entraña el software antivirus pirateado son bien conocidos en los círculos de la ciberseguridad. En el artículo «Antiguos espías estadounidenses afirman que el software antivirus es una plataforma perfecta para el espionaje», Cyberscoop analiza por qué el software antivirus resulta ideal para el espionaje:
Dado que la mayoría de los fabricantes de antivirus han diseñado sus productos para buscar de forma autónoma virus informáticos en los sistemas de los usuarios, analizando directamente los archivos y enviando luego esos datos a un servidor para su análisis, este software es, por naturaleza, muy intrusivo.
«Aparte de los riesgos remotos, los antivirus pueden ampliar la superficie de ataque de un equipo», afirmó Blake Darche, antiguo analista de explotación de redes informáticas de la NSA. «Si un atacante consigue acceder al servidor central de antivirus dentro de la red de una organización, ese servidor central puede utilizarse para distribuir malware».
Las actualizaciones de software, que pueden ayudar a corregir errores u otros problemas en un producto, suponen un vector de ataque adicional, ya que ofrecen una vía de confianza para la introducción remota de código en ordenadores de todo el mundo.
Los hackers chinos tienen mucha experiencia en el uso de programas antivirus con este fin. Véase: Un estudio afirma que el ataque a CCleaner fue perpetrado por un grupo vinculado a China.
En la República Popular China, el uso obligatorio de software antivirus chino eleva aún más el riesgo de ciberataques en el país. En la República Popular China, no es necesario realizar un ataque informático a distancia. El propio hacker (el Gobierno chino) proporciona a las empresas lo que, en esencia, es un sistema ya comprometido.
Este sistema ya comprometido tiene dos consecuencias principales. En primer lugar, el sistema no detectará el malware creado por el Gobierno de la República Popular China. En segundo lugar, el sistema servirá de vector para introducir un flujo continuo de malware proporcionado por el Gobierno de la República Popular China y sus socios.
Pensemos en una situación similar en Estados Unidos. Imaginemos un escenario en el que la NSA y el FBI fueran los únicos proveedores de software antivirus. Este software podría ser eficaz para detectar el malware de delincuentes y agentes extranjeros. Pero nadie esperaría que ese software protegiera a los usuarios de las intromisiones de la NSA o del FBI. Sería absurdo. Y aún más absurdo es creer eso mismo sobre la República Popular China y el software antivirus impuesto por su Gobierno.
G. Pasar del correo electrónico a WeChat
Después de que el Gobierno chino prohibiera el uso de Gmail en el país, las agencias gubernamentales chinas comenzaron a presionar a las empresas extranjeras para que utilizaran servicios de correo electrónico aprobados por la República Popular China. Estos servicios no funcionan bien y son conocidos por su falta de seguridad. Por ello, la mayoría de las empresas extranjeras siguieron utilizando proveedores de correo electrónico alternativos de Estados Unidos y Europa. Estos servicios ofrecen una seguridad relativa frente a la interceptación de mensajes por parte de las autoridades chinas. Proton Mail y otros sistemas con cifrado de extremo a extremo son bastante seguros en China.
El Gobierno chino podría haber dado un paso más bloqueando el acceso a todos los proveedores de correo electrónico extranjeros. Sin embargo, las autoridades chinas han adoptado un enfoque más creativo. Ahora que el Gobierno chino ha asumido un control prácticamente total sobre WeChat, las autoridades chinas obligan a que todas las comunicaciones se realicen a través de la aplicación WeChat. Si envías un correo electrónico a tu banco, este no te responderá. Si envías un correo electrónico a tu oficina tributaria local, tampoco te responderá. Si envías un correo electrónico a la comisaría local en relación con el estado de tu visado, no te responderá. Lo mismo ocurre con los tribunales chinos, que suelen responder simplemente pidiéndonos que nos comuniquemos con ellos a través de WeChat. Esto es así incluso cuando se presentan documentos. Las agencias gubernamentales chinas exigen casi siempre que los documentos se envíen como archivo adjunto en WeChat en lugar de como archivo adjunto en un correo electrónico.
Esto supone, por tanto, pasar de una seguridad adecuada a una ausencia total de seguridad. Así lo pone de manifiesto la reciente clasificación de Amnistía Internacional sobre las aplicaciones de mensajería instantánea. Amnistía Internacional evaluó las 11 principales aplicaciones de mensajería en cuanto a su uso del cifrado y la protección de la privacidad de los usuarios en una escala del 0 al 100. Facebook obtuvo la puntuación más alta, con un 73. WeChat recibió una puntuación de cero. En otras palabras, Amnistía Internacional concluyó que WeChat no ofrece, literalmente, ninguna protección frente a la piratería informática china. Ninguna. Nada. Cero. Nada de nada. 没有. Véase ¿SOLO PARA TUS OJOS? Clasificación de 11 empresas tecnológicas en materia de cifrado y derechos humanos.
Este cambio forzoso a una plataforma de comunicación totalmente insegura se llevó a cabo al más puro estilo del PCCh. No existe ninguna ley ni normativa que prohíba el uso de servicios de correo electrónico con sede en el extranjero. No existe ninguna ley ni normativa que obligue a utilizar WeChat, una aplicación totalmente insegura. La «norma» se impone en la práctica. Si envías un correo electrónico, no obtendrás respuesta. Si llamas o acudes a una oficina gubernamental para quejarte, la respuesta es: «Usa WeChat. Todo el mundo lo hace. Tú también deberías hacerlo». Y así se impone la norma, sin que las autoridades chinas tengan la obligación de formalizarla ni publicarla.
Conclusión
El objetivo de nuestras publicaciones sobre ciberseguridad en China es describir la realidad sobre el terreno en materia de ciberseguridad para las empresas extranjeras que operan en el país. Como se ha podido comprobar, el Gobierno chino es quien lleva a cabo los ataques informáticos, por lo que puede tener acceso total a toda la información sobre las entidades extranjeras que operan en su territorio, desde datos críticos relativos a tecnologías protegidas hasta los detalles más triviales sobre las actividades cotidianas de la empresa extranjera y sus empleados. En nuestro mundo digitalizado, esa información está disponible en los sistemas informáticos y las comunicaciones en red de la entidad de propiedad extranjera.
El Gobierno chino obtiene la información que desea mediante las técnicas que hemos descrito. De hecho, solo hemos esbozado una parte de las diversas técnicas que utiliza para acceder a la información.
Por supuesto, el Gobierno chino anima a las entidades de propiedad extranjera a protegerse de los piratas informáticos y de las intrusiones llevadas a cabo por sus competidores del sector privado. En virtud de la nueva normativa cibernética, esta forma de autoprotección es obligatoria por ley para las empresas que operan en sectores críticos.
Pero la otra cara de la moneda de este requisito es que el Gobierno chino no ofrece ninguna protección frente a su propia obtención de esa misma información. Los intentos de bloquear el acceso por parte del Gobierno chino son inútiles. Es posible que se bloquee un vector de ataque en un caso concreto de infección. Pero, en la práctica, no es posible defenderse de los ataques del Gobierno de la República Popular China, que utiliza todo un arsenal de técnicas de penetración cibernética. La única pregunta es si el Gobierno chino está interesado o no. Si lo está, lo conseguirá. No hay dónde esconderse.
